Occhi aperti contro W32/Mydoom.bb@MM
McAfee® AVERT (Anti-virus and Vulnerability Emergency Response Team), la divisione di ricerca anti-virus di McAfee® Inc., (NYSE: MFE), il principale fornitore di soluzioni per la prevenzione delle intrusioni, ha elevato il livello di pericolosità a MEDIO per il worm W32/Mydoom.bb@MM, conosciuto anche come Mydoom.bb.
L’allegato di questo worm, che scarica il Trojan BackDoor-CEB.f, contiene una routine di diffusione peer to peer che potrebbe essere sotto forma di file EXE. Ad oggi, McAfee AVERT ha ricevuto oltre 50 segnalazioni del virus di cui la maggior parte arrivano dagli Stati Uniti, ed alcuni dall’Australia e dall’Inghilterra.
Sintomi
Questa variante di Mydoom è simile alle varianti precedenti e presenta le seguenti caratteristiche:
- worm mass-mailing che crea i messaggi utilizzando il proprio motore SMTP
- raccoglie gli indirizzi email dalla macchina della vittima
- falsifica l’indirizzo del mittente
- include una routine di propagazione peer to peer
- scarica il trojan BackDoor-CEB.f
Gli utenti dovrebbero essere molto prudenti e cancellare immediatamente qualsiasi messaggio che include quanto segue:
From: (indirizzo falsificato)
Non date per scontato che l’indirizzo del mittente sia un’indicazione che il mittente è infetto. Potreste ricevere messaggi di alert da un server di posta che voi siete infetti, anche se non corrisponde a realtà. L’indirizzo del mittente potrebbe essere cammuffato con un indirizzo email rubato. Inoltre, potrebbe essere costruito in modo da apparire come una risposta automatica, utilizzando uno dei seguenti indirizzi:
- mailer-daemon@(target_domain)
Subject: Vengono utilizzati i seguenti oggetti:
- delivered - delivery failed - hello - hi - error - status - test - report
- Message could not be delivered - Mail System Error - Returned Mail
- Delivery reports about your e-mail
- Returned mail: see transcript for details
- Returned mail: Data format error
Corpo del testo: Il virus costruisce messaggi da un insieme di stringhe che porta all’interno del suo corpo.
Patologia della minaccia
Una volta eseguito, Mydoom.bb si duplica nella directory Windows System, il worm si autoinstalla come JAVA.EXE nella directory di Windows.
Per esempio: -- C:WINDOWSJAVA.EXE
Inoltre scarica il file SERVICES.EXE nella seguente directory: -- C:WINDOWSSERVICES.EXE
Vengono aggiunte le seguenti chiavi di Registro per agganciarsi allo startup di sistema:
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun"JavaVM" = %WinDir%JAVA.EXE
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun"Services" = %WinDir%SERVICES.EXE
Vengono aggiunte anche le seguenti chiavi di Registro:
- HKEY_CURRENT_USERSoftwareMicrosoftDaemon
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftDaemon
Mydoom.bb mostrerà Windows Explorer in ascolto sulla Porta TCP 1034, ovvero la porta su cui il web server gira.
Protezione dei sistemi e cure
Maggiori informazioni e le cure per Mydoom.bb sono disponibili online sul sito di McAfee AVERT all’indirizzo http://vil.nai.com/vil/content/v_131856.htm. McAfee AVERT suggerisce ai propri clienti di aggiornare i sistemi con i file DAT 4429 per essere protetti contro questa variante della minaccia.